L'icona del lucchetto verde nella barra dell'URL non è più un simbolo di cui ti puoi fidare
Per anni, ti è stato costantemente detto di non inserire le tue informazioni private su un sito Web che non ha un lucchetto verde nella barra degli indirizzi. Alcuni di voi hanno seguito questo consiglio, altri no, ma vi siete mai chiesti che cosa rappresenta questo lucchetto verde e come funziona?
Sebbene i browser come Google Chrome ora lo stiano gradualmente eliminando (i motivi per cui diventeranno evidenti in un minuto), il lucchetto verde è ancora universalmente riconosciuto come un segno che il sito Web che stai visualizzando ha un certificato SSL e viene caricato in HTTPS. Questo, a sua volta, significa che tutte le informazioni che arrivano e arrivano al sito Web sono crittografate ed è al sicuro dagli attacchi Man-in-the-Middle.
In passato, gli esperti avevano un altro motivo per avvertirti di non inserire i tuoi dati su siti Web che non erano stati caricati tramite HTTPS. I certificati SSL vengono emessi dalle autorità di certificazione (CA) che per loro addebitavano diverse centinaia di dollari all'anno. Com'era prevedibile, i truffatori non erano disposti a sborsare questo tipo di denaro per rendere le loro pagine di phishing più simili alla realtà, e anche se lo fossero state, non avrebbero superato alcuni dei controlli manuali effettuati in quei giorni. In altre parole, i veri moduli di accesso Amazon avevano lucchetti verdi e quelli falsi no. Questo, sfortunatamente, non è più il caso.
Table of Contents
L'emergere di certificati SSL gratuiti e l'impatto che hanno avuto su Internet
Purtroppo, i truffatori non erano i soli a non riuscire a indirizzare i loro siti Web tramite HTTPS. I certificati SSL erano troppo costosi anche per molti legittimi proprietari di siti Web, il che significava che molti negozi online stavano lasciando scoperti i dati dei loro clienti. Qualcosa doveva essere fatto.
Nel 2014, è stata istituita una nuova CA di nome Let's Encrypt che ha iniziato a offrire certificati SSL completamente gratuiti. L'idea è piaciuta a Internet.
Let's Encrypt è uscito ufficialmente dalla Beta nell'aprile 2016, quando ha annunciato con orgoglio che il numero di certificati emessi era pari a circa 1,7 milioni. Solo quattordici mesi dopo, c'erano oltre 100 milioni di certificati Let's Encrypt.
I certificati SSL gratuiti sono ora offerti anche da altre CA e, a causa loro, HTTPS sta diventando la norma piuttosto che l'eccezione. Ad agosto, lo specialista della sicurezza Scott Helme ha dichiarato che, per la prima volta in assoluto, oltre la metà dei primi 1 milione di siti Web Alexa sono stati caricati in HTTPS. Questo spostamento ha spinto i fornitori di browser a abbandonare l'icona del lucchetto verde e sostituirla con un segno "Non sicuro" più grande quando una pagina non è caricata in HTTPS. In effetti, il lucchetto non è affatto utile come in passato.
Quasi il 50% di tutte le pagine di phishing è ora caricato tramite HTTPS
L'emergere di certificati SSL gratuiti è una delle cose positive che sono successe al mondo di recente. Sebbene non siano una panacea, hanno consentito ai piccoli fornitori online di non solo sopravvivere ma prosperare, e in questo momento, anche i siti Web HTML di base non hanno una scusa per funzionare con HTTP.
Purtroppo, se i certificati SSL sono gratuiti e facili da configurare per i legittimi proprietari di siti Web, sono gratuiti e facili da configurare anche per i truffatori. In effetti, PhishLabs, una società di intelligence e mitigazione delle minacce, ha dichiarato a Brian Krebs che quasi la metà (circa il 49%) di tutte le pagine di phishing rilevate durante il terzo trimestre di quest'anno sono state caricate sotto HTTPS. Questo, ha detto PhishLabs su Twitter, è aumentato del 35% durante il secondo trimestre e del 33% durante il primo trimestre.
I truffatori stanno attivamente impostando certificati SSL sulle loro pagine di truffa in parte perché è facile da fare e non costa nulla e in parte a causa delle modifiche che i fornitori di browser stanno implementando. Si rendono conto che è molto meno probabile che gli utenti trasmettano le loro informazioni personali a un sito Web che viene caricato con un avviso "Non sicuro" visibile.
Cosa possiamo fare al riguardo?
Questo significa che la decisione dei venditori di browser di abbandonare il lucchetto verde è un errore enorme? No, non lo fa. Il semplice fatto è che l'icona del lucchetto non sarà mai utile come una volta. Se rimane, non avrà alcun impatto sulla situazione attuale, perché se i truffatori decidono di averne bisogno, otterranno solo un certificato SSL gratuito.
Non dovremmo sbarazzarci dei certificati SSL gratuiti, allora? No, non dovremmo. Negare ai fornitori la possibilità di proteggere gratuitamente i dati dei loro clienti sarà un enorme passo indietro e metterà seriamente a rischio le informazioni personali di milioni di persone. Quello che dobbiamo fare invece è insegnare a quanti più utenti possibile cos'è HTTPS.
HTTPS non è un indicatore di affidabilità. Se non è presente, puoi essere abbastanza sicuro che il sito web che stai visualizzando non dovrebbe essere attendibile, ma anche se è lì, potresti comunque guardare una truffa. Ci sono altri fattori a cui dovresti prestare maggiore attenzione.
